JP2016038627A - 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム - Google Patents
監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016038627A JP2016038627A JP2014159686A JP2014159686A JP2016038627A JP 2016038627 A JP2016038627 A JP 2016038627A JP 2014159686 A JP2014159686 A JP 2014159686A JP 2014159686 A JP2014159686 A JP 2014159686A JP 2016038627 A JP2016038627 A JP 2016038627A
- Authority
- JP
- Japan
- Prior art keywords
- information
- access
- unit
- transition method
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】未知の悪性サイトへのアクセスを検出可能とすると共に該検出にかかる負担を軽減すること。
【解決手段】観測装置1−1,1−2は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部12と、ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部14と、該収集された情報を解析装置2へ送信する送受信部11と、を備え、解析装置2は、該送信された情報を受信する送受信部21と、該受信された情報に基づいて特定のページ遷移方法の検出を行い、該特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断する解析部22と、を備える。
【選択図】図1
【解決手段】観測装置1−1,1−2は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部12と、ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部14と、該収集された情報を解析装置2へ送信する送受信部11と、を備え、解析装置2は、該送信された情報を受信する送受信部21と、該受信された情報に基づいて特定のページ遷移方法の検出を行い、該特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断する解析部22と、を備える。
【選択図】図1
Description
本発明は、ウェブ(Web)ページへのアクセスについての監視システム、観測装置、解析装置、監視方法およびコンピュータプログラムに関する。
従来、Webページの改ざんや悪性Webページによる攻撃の一例として、ドライブバイダウンロード(Drive-by Download)攻撃と呼ばれるものが知られている。Drive-by Download攻撃とは、ユーザがWebブラウザを使用して悪性Webページにアクセスした際に、WebブラウザやWebブラウザのプラグインソフトウェアの脆弱性を悪用してマルウェアをダウンロードさせる攻撃である。一般的なDrive-by Download攻撃では、攻撃者は正規のWebページを改ざんして、マルウェアを配布するサイト又はマルウェア自身へリンクさせるためのスクリプトコードを挿入することにより、当該Webページへアクセスしたユーザを自動的にExploitサイトへ転送させる。ユーザは、その転送先のExploitサイトでWebブラウザやプラグインソフトウェアなどの脆弱性をつく攻撃を受けることにより、マルウェア配布サイトへ転送させられる。この結果、ユーザは、その転送先のマルウェア配布サイトからマルウェアを自動的にダウンロードして実行することになる。
Webページの改ざんや悪性Webページを監視する従来技術として、例えば、特許文献1、非特許文献1,2などが知られている。特許文献1に記載される従来技術では、Webサイト上のコンテンツに対して、あらかじめ保持しておいたコンテンツの特徴量や複製を用いて、コンテンツの特徴量の差異、コンテンツの差分を検出することにより、コンテンツの改ざんを検知している。非特許文献1に記載される従来技術では、WebブラウザがアクセスするURL(Uniform Resource Locator)を監視し、アクセスされたURLが既知の悪性WebページのURLと一致した場合に、当該アクセスを遮断している。非特許文献2に記載される従来技術では、マルウェア配布サイトの情報とWebページ間のリンク構造を示すグラフに基づいて、マルウェア配布サイトへのlandingサイトを検出し、検出されたlandingサイトに基づいて未知のマルウェア配布サイトを検出している。
"Google Safe Browsing", インターネット<URL:https://developers.google.com/safe-browsing/>
J. W. Stokes et al, "WebCop: Locating Neighborhoods of Malware on the Web", Proc. 3rd USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET2010), 2010
しかし、上述した従来技術では以下に示す課題がある。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知の悪性Webページには有効であるが、未知の悪性Webページには効果がない。
非特許文献2に記載される従来技術では、既知のマルウェア配布サイトのURLが豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知の悪性Webページには有効であるが、未知の悪性Webページには効果がない。
非特許文献2に記載される従来技術では、既知のマルウェア配布サイトのURLが豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
本発明は、このような事情を考慮してなされたもので、未知の悪性サイトへのアクセスを検出可能とすると共に該検出にかかる負担を軽減できる、監視システム、観測装置、解析装置、監視方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、観測装置と、前記観測装置と通信回線で接続される解析装置とを有する監視システムであり、前記観測装置は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部と、前記データ観測部で収集された情報および前記コンテンツ走査部で収集された情報を前記解析装置へ送信する送信部と、を備え、前記解析装置は、前記観測装置から送信された情報を受信する受信部と、前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析部と、を備える、監視システムである。
(2)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、監視システムである。
(3)本発明の一態様は、上記(2)の監視システムにおいて、前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である監視システムである。
(2)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、監視システムである。
(3)本発明の一態様は、上記(2)の監視システムにおいて、前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である監視システムである。
(4)本発明の一態様は、特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断する際に使用される、ページ遷移方法についての情報、を取得する観測装置であり、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部と、を備えた観測装置である。
(5)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部と、前記データ観測部で収集された情報および前記コンテンツ走査部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析部と、を備えた観測装置である。
(6)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報および前記ユーザがダウンロードしたコンテンツから収集された遷移先のURLを示すURL情報を観測装置から受信する受信部と、前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析部と、を備えた解析装置である。
(7)本発明の一態様は、データ観測部が、ユーザによるWebページへのアクセスに関する情報を収集し、コンテンツ走査部が、前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集し、解析部が、前記データ観測部で収集された情報および前記コンテンツ走査部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する、監視方法である。
(8)本発明の一態様は、特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断する際に使用される、ページ遷移方法についての情報、を取得する処理を行うためのコンピュータプログラムであって、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測機能と、前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査機能と、をコンピュータに実現させるためのコンピュータプログラムである。
(9)本発明の一態様は、コンピュータに、ユーザによるWebページへのアクセスに関する情報および前記ユーザがダウンロードしたコンテンツから収集された遷移先のURLを示すURL情報を観測装置から受信する受信機能と、前記受信機能により受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析機能と、を実現させるためのコンピュータプログラムである。
本発明によれば、未知の悪性サイトへのアクセスを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。
以下、図面を参照し、本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る監視システムの構成を示すブロック図である。図1において、観測装置1−1,1−2(以下、特に区別しないときは「観測装置1」と称する)と解析装置2とは通信回線で接続されている。観測装置1は、送受信部11とデータ観測部12と制御部13とコンテンツ走査部14を備える。解析装置2は、送受信部21と解析部22と通知情報生成部23を備える。
図1は、本発明の一実施形態に係る監視システムの構成を示すブロック図である。図1において、観測装置1−1,1−2(以下、特に区別しないときは「観測装置1」と称する)と解析装置2とは通信回線で接続されている。観測装置1は、送受信部11とデータ観測部12と制御部13とコンテンツ走査部14を備える。解析装置2は、送受信部21と解析部22と通知情報生成部23を備える。
観測装置1において、送受信部11は、通信回線を介して解析装置2とメッセージを交換する。データ観測部12は、ユーザによるWebページへのアクセス(Webアクセス)に関する情報を収集する。Webアクセスに関する情報として、例えば、アクセス先のURL、ダウンロードしたコンテンツなどが挙げられる。制御部13は、解析装置2から受信した通知情報に基づいて、ユーザのWebアクセスを遮断する等の制御を行う。コンテンツ走査部14は、ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集し、収集したURL情報を蓄積する。走査の対象となるコンテンツとして、例えば、HTML(HyperText Markup Language)文書、スクリプト言語(簡易プログラミング言語)ファイルなどが挙げられる。
観測装置1−1は、ユーザが使用するWebブラウザ101にインストールされたプラグインソフトウェア(プラグイン)として実装されている。観測装置1−1のデータ観測部12は、Webブラウザ101がインターネット100上のWebサイトとの間でやり取りするHTTP(Hypertext Transfer Protocol)メッセージを取得することによって、ユーザのWebアクセスに関する情報やダウンロードされたコンテンツを取得する。また、観測装置1−1のデータ観測部12は、制御部13からの制御情報に従って、Webブラウザ101によるWebアクセスの遮断等を行う。
観測装置1−2は、インターネット100と接続しているHTTPプロキシサーバ(HTTPプロキシ)103に接続されているWebプロキシサーバ(Webプロキシ)に付随して設けられている。観測装置1−2として、例えば、ユーザ端末102とWebプロキシサーバとの間の通信を仲介するミドルウェアとして実装されることが挙げられる。観測装置1−2のデータ観測部12は、ユーザ端末102がWebプロキシサーバを介してインターネット100上のWebサイトとの間でやり取りするHTTPメッセージを取得することによって、ユーザのWebアクセスに関する情報やダウンロードされたコンテンツを取得する。また、観測装置1−2のデータ観測部12は、制御部13からの制御情報に従って、ユーザ端末102とWebプロキシサーバとの間でWebアクセスの遮断等を行う。
観測装置1において、データ観測部12によって取得されたWebアクセスに関する収集情報は、送受信部11により解析装置2へ送信される。また、データ観測部12によって取得されたコンテンツは、コンテンツ走査部14へ送られる。コンテンツ走査部14によってコンテンツから収集されたURL情報の収集情報は、送受信部11により解析装置2へ送信される。
解析装置2において、送受信部21は、通信回線を介して観測装置1とメッセージを交換する。解析部22は、観測装置1から受信した収集情報を解析する。この解析結果は通知情報生成部23へ送られる。通知情報生成部23は、解析部22による解析結果に基づいて、観測装置1へ送信される通知情報を生成する。解析装置2として、例えば、通信ネットワーク上に配置された中央集積型のサーバ装置を利用することが挙げられる。
図2は、本実施形態に係る解析方法を説明するための概念図である。図2には、Drive-by Download攻撃における特徴的なページ遷移方法が例示されている。図2において、マルウェア配布サイトへのlandingサイトには、改ざんされたページが存在し、クライアントが該改ざんされたページへアクセスすると、自動的にExploitサイトへ転送される。クライアントは、その転送先のExploitサイトでWebブラウザやプラグインソフトウェアなどの脆弱性をつく攻撃を受けることにより、マルウェア配布サイトへ転送させられる。
図2に示されるように、landingサイトの改ざんされたページにある転送用スクリプトは、一般に難読化されており、その改ざんされたページのコンテンツからは転送先を推測できない。つまり、該転送用スクリプトには、Exploitサイトやマルウェア配布サイトへのページ遷移を示す記載がない。そして、Exploitサイトからマルウェア配布サイトへのページ遷移では、一般に脆弱性をつく攻撃によって自動的に転送させられるため、Refererヘッダなどの参照元サイトの情報がHTTPヘッダ上に付かない。本実施形態では、この特徴を利用して悪性サイトへのアクセスを判断する。
次に、図3および図4を参照して、図1に示す監視システムの動作を説明する。図3および図4は、本実施形態に係る監視方法の手順を示すシーケンスチャートである。ここでは、観測装置1として観測装置1−1を例に挙げて説明する。なお、観測装置1−2についても同様の監視方法の手順である。
(図3:ステップS1)観測装置1−1はWebブラウザ101からのHTTPリクエスト(qi)を捕捉する。
(図3:ステップS2)観測装置1−1は、その捕捉したHTTPリクエスト(qi)をリクエスト先のWebサイトへ転送し、該WebサイトからのHTTPレスポンスを受信する。
(図3:ステップS3)観測装置1−1は、その受信したHTTPレスポンスが先頭ページであるか否かを調べる。例えば、当該HTTPリクエスト(qi)が、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、先頭ページであると判断する。又は、当該HTTPリクエスト(qi)の送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)が有った場合に、先頭ページであると判断する。この判断の結果、先頭ページである場合には、観測装置1−1は、参照情報201を初期化する。一方、先頭ページでない場合には、ステップS4へ進む。なお、先頭ページとは、Webサイトにアクセスした際に発生する一連のページ遷移において、はじめにアクセスされたWebページのことを指す。
(図3:ステップS4)観測装置1−1は、HTTPレスポンス内のコンテンツを走査し、当該コンテンツ内に記載されているURL(ui1,ui2)を当該コンテンツのURL(qi)に関連付けて参照情報201へ保存する。
(図3:ステップS5)観測装置1−1は、収集情報を解析装置2へ送信する。この収集情報として以下がある。
・HTTPリクエストURL(qi)
・HTTPリクエストとHTTPレスポンスのHTTPヘッダ情報、特にはRefererヘッダに示されているURL(ri)およびLocationヘッダに示されているURL(li)
・当該リクエスト先のURL(qi)が以前に受信したコンテンツ内に記載されていたURL(uki)と合致する場合「uki=qi」に、その参照元コンテンツのURL(qk)
・HTTPリクエスト送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)の有無(mi:1が有り、0が無し)
・当該リクエスト先(qi)のWebページが先頭ページか否かを示すフラグ(ni:1が先頭ページである、0が先頭ページではない)
なお、フラグ(ni)として、例えば、当該リクエストが、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、当該リクエスト先(qi)のWebページが先頭ページであることを示す値「1」を設定する。
・HTTPリクエストURL(qi)
・HTTPリクエストとHTTPレスポンスのHTTPヘッダ情報、特にはRefererヘッダに示されているURL(ri)およびLocationヘッダに示されているURL(li)
・当該リクエスト先のURL(qi)が以前に受信したコンテンツ内に記載されていたURL(uki)と合致する場合「uki=qi」に、その参照元コンテンツのURL(qk)
・HTTPリクエスト送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)の有無(mi:1が有り、0が無し)
・当該リクエスト先(qi)のWebページが先頭ページか否かを示すフラグ(ni:1が先頭ページである、0が先頭ページではない)
なお、フラグ(ni)として、例えば、当該リクエストが、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、当該リクエスト先(qi)のWebページが先頭ページであることを示す値「1」を設定する。
(図4:ステップS6)解析装置2は、観測装置1−1から収集情報を受信すると、該受信した収集情報(以下、受信収集情報と称する)に基づいてリクエスト先(qi)のWebページが先頭ページか否かを判断する。具体的には、フラグ(ni)とマウスイベントの有無(mi)に基づいて判断する。フラグ(ni)が1である場合には先頭ページであると判断する。フラグ(ni)が0である場合において、マウスイベントの有無(mi)が1(有り)である場合には先頭ページであると判断する。それ以外の場合には先頭ページではないと判断する。この判断の結果、先頭ページである場合にはステップS7へ進み、先頭ページではない場合にはステップS8へ進む。
(図4:ステップS7)解析装置2は、ページ遷移に関するページ遷移情報(L,Q)を初期化する。そして、解析装置2は、観測装置1−1へ通知するステータスを「0(良性)」とする。
(図4:ステップS8)解析装置2は、受信収集情報に含まれるHTTPヘッダ情報が実行形式のファイルを示しているか否かを判断する。この判断として、例えばContent-Typeヘッダにおいてapplication/x-msdownload、application/octet-stream、application/java-archiveなどを示す場合に、実行形式のファイルを示していると判断することが挙げられる。この判断の結果、実行形式のファイルを示していない場合には、解析装置2は、観測装置1−1へ通知するステータスを「0(良性)」とする。一方、実行形式のファイルを示している場合には、ステップS9へ進む。
(図4:ステップS9)解析装置2は、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものか否かを判断する。この判断では、以下の3つの条件1,2,3を調べる。
(条件1)当該ファイルのURL(qi)が以前Locationヘッダに記載されていた(qi∈L)。
(条件2)受信収集情報内にRefererヘッダが存在し、該Refererヘッダに示されているURL(ri)が以前アクセスされたURLと合致する(ri∈Q)。
(条件3)受信収集情報内に参照元コンテンツのURL(qk)が存在し、該参照元コンテンツのURL(qk)が以前アクセスされたURLと合致する(qk∈Q)。
上記した条件1,2,3のうち、少なくともいずれか一つの条件が成立する場合には、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものであると判断する。この場合、解析装置2は、観測装置1−1へ通知するステータスを「0(良性)」とする。一方、上記した条件1,2,3の全てが不成立である場合には、解析装置2は、観測装置1−1へ通知するステータスを「1(悪性)」とする。この場合には、先頭ページからの一連のページ遷移において取得されたコンテンツおよび当該コンテンツの取得のために送受信されたHTTPヘッダから転送元を推測できないことになる。
(条件1)当該ファイルのURL(qi)が以前Locationヘッダに記載されていた(qi∈L)。
(条件2)受信収集情報内にRefererヘッダが存在し、該Refererヘッダに示されているURL(ri)が以前アクセスされたURLと合致する(ri∈Q)。
(条件3)受信収集情報内に参照元コンテンツのURL(qk)が存在し、該参照元コンテンツのURL(qk)が以前アクセスされたURLと合致する(qk∈Q)。
上記した条件1,2,3のうち、少なくともいずれか一つの条件が成立する場合には、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものであると判断する。この場合、解析装置2は、観測装置1−1へ通知するステータスを「0(良性)」とする。一方、上記した条件1,2,3の全てが不成立である場合には、解析装置2は、観測装置1−1へ通知するステータスを「1(悪性)」とする。この場合には、先頭ページからの一連のページ遷移において取得されたコンテンツおよび当該コンテンツの取得のために送受信されたHTTPヘッダから転送元を推測できないことになる。
(図4:ステップS10)解析装置2は、判定結果であるステータス「0(良性)又は1(悪性)」を通知情報として観測装置1−1へ送信する。
(図4:ステップS11)解析装置2は、受信収集情報に基づいてページ遷移情報(L,Q)を蓄積する。この蓄積では、リクエスト先のURL(qi)を情報Qに追加する。さらに、HTTPヘッダ情報にLocationヘッダが存在する場合には、該Locationヘッダに示されているURL(li)を情報Lに追加する。
(図4:ステップS12)観測装置1−1は、解析装置2から受信した通知情報ステータスに応じて、Webブラウザ101によるWebアクセスに対する処置を行う。観測装置1−1は、ステータスが「0(良性)」である場合には、HTTPリクエスト(qi)に対するHTTPレスポンスをWebブラウザ101へ転送する。一方、観測装置1−1は、ステータスが「1(悪性)」である場合には、HTTPリクエスト(qi)に対するHTTPレスポンスをWebブラウザ101へ転送しない。このHTTPレスポンスの転送を止めることによって、Webブラウザ101による該当するWebアクセスが遮断されるので、マルウェア配布サイトからのマルウェアのダウンロードが未然に防がれる。
なお、上述したステップS8では、実行形式のファイルを検出したが、実行形式以外の特定のファイル形式のファイルを検出してもよい。例えば、静止画や動画などの画像ファイル形式のファイルを検出してもよい。これにより、実行形式以外の特定のファイル形式のファイルを対象にして、マルウェア配布サイトへのページ遷移の検知を行うことができる。また、実行形式のファイルと、特定のファイル形式(例えば、画像ファイル形式)のファイルとの両方を検出してもよい。また、画像ファイル形式のファイルを検出する場合においては検出の条件としてコンテンツのサイズの下限値を設定してもよい。これにより、トラッキング目的のWebBugを誤検知することを防ぐことができる。
上述したように本実施形態によれば、ユーザによるWebページへのアクセスにおけるページ遷移方法についての情報を取得し、該取得した情報に基づいて特定のページ遷移方法の検出を行い、特定のページ遷移方法の検出結果に基づいて当該Webページへのアクセスの悪性を判断する。上述の実施形態では、Drive-by Download攻撃における特徴的なページ遷移方法の検出有りで、当該Webページへのアクセスを悪性と判断する。このため、既知の悪性サイトへのページ遷移における特徴的なページ遷移方法を特定できれば、既知の悪性サイトのURLが豊富に得られなくても、未知の悪性サイトへのアクセスを検出できる。これにより、未知の悪性サイトへのアクセスを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。
また、特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断するので、改ざんされていたWebページの改ざんが解消されたことによって該特定のページ遷移方法が検出されなくなった場合には、該改ざんされていたWebページへのアクセスが問題なしと判断できる。これにより、改ざんされていたWebページの改ざんが解消されたことに対しても直ぐに適応できるので、改ざんが解消されたのに悪性サイトであると誤検知することを防止できる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、上述した図1の監視システムでは、観測装置1と解析装置2を別個の装置として構成したが、観測装置1と解析装置2を同じ装置として構成してもよい。図5は、本発明の他の実施形態に係る観測装置3の構成を示すブロック図である。図5において、図1の各部に対応する部分には同一の符号を付している。図5の観測装置3は、図1の観測装置1が有するデータ観測部12、制御部13およびコンテンツ走査部14に加えて、図1の解析装置2が有する解析部22をさらに備える。そして、観測装置3では、データ観測部12およびコンテンツ走査部14から解析部22へ直接に取集情報が送られ、また、解析部22から制御部13へ直接に解析結果が送られる。図5に例示される観測装置3では、図1において、Webプロキシサーバに付随して設けられている観測装置1−2に対して、解析部22を追加した構成となっている。この観測装置3の運用方法として、観測されるHTTPメッセージに対して随時、解析および判定を行うことが挙げられる。
なお、上述の実施形態では、Drive-by Download攻撃を対象にしたが、これ以外の攻撃における特徴的なページ遷移方法に基づいて、Webページへのアクセスの悪性を判断してもよい。
また、上述した観測装置1、解析装置2の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1−1,1−2,3…観測装置、2…解析装置、11,21…送受信部、12…データ観測部、13…制御部、14…コンテンツ走査部、22…解析部、23…通知情報生成部、100…インターネット、101…Webブラウザ、102…ユーザ端末、103…HTTPプロキシサーバ
Claims (9)
- 観測装置と、前記観測装置と通信回線で接続される解析装置とを有する監視システムであり、
前記観測装置は、
ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部と、
前記データ観測部で収集された情報および前記コンテンツ走査部で収集された情報を前記解析装置へ送信する送信部と、を備え、
前記解析装置は、
前記観測装置から送信された情報を受信する受信部と、
前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析部と、を備える、
監視システム。 - 前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、
請求項1に記載の監視システム。 - 前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である請求項2に記載の監視システム。
- 特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断する際に使用される、ページ遷移方法についての情報、を取得する観測装置であり、
ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部と、
を備えた観測装置。 - ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査部と、
前記データ観測部で収集された情報および前記コンテンツ走査部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析部と、
を備えた観測装置。 - ユーザによるWebページへのアクセスに関する情報および前記ユーザがダウンロードしたコンテンツから収集された遷移先のURLを示すURL情報を観測装置から受信する受信部と、
前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析部と、
を備えた解析装置。 - データ観測部が、ユーザによるWebページへのアクセスに関する情報を収集し、
コンテンツ走査部が、前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集し、
解析部が、前記データ観測部で収集された情報および前記コンテンツ走査部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する、
監視方法。 - 特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断する際に使用される、ページ遷移方法についての情報、を取得する処理を行うためのコンピュータプログラムであって、
ユーザによるWebページへのアクセスに関する情報を収集するデータ観測機能と、
前記ユーザがダウンロードしたコンテンツを走査し、遷移先のURLを示すURL情報を収集するコンテンツ走査機能と、
をコンピュータに実現させるためのコンピュータプログラム。 - コンピュータに、
ユーザによるWebページへのアクセスに関する情報および前記ユーザがダウンロードしたコンテンツから収集された遷移先のURLを示すURL情報を観測装置から受信する受信機能と、
前記受信機能により受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスの悪性を判断する解析機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014159686A JP2016038627A (ja) | 2014-08-05 | 2014-08-05 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014159686A JP2016038627A (ja) | 2014-08-05 | 2014-08-05 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016038627A true JP2016038627A (ja) | 2016-03-22 |
Family
ID=55529679
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014159686A Pending JP2016038627A (ja) | 2014-08-05 | 2014-08-05 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016038627A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6942277B1 (ja) * | 2021-03-29 | 2021-09-29 | 株式会社ユービーセキュア | セキュリティテストシステム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011257901A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
| JP2012527691A (ja) * | 2009-05-19 | 2012-11-08 | サイバーセキュアー, インコーポレイテッド | アプリケーションレベルセキュリティのためのシステムおよび方法 |
| US8505094B1 (en) * | 2010-01-13 | 2013-08-06 | Trend Micro, Inc. | Detection of malicious URLs in a web page |
| JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
| JP2014099758A (ja) * | 2012-11-14 | 2014-05-29 | National Institute Of Information & Communication Technology | 複数センサの観測情報の突合による不正通信検知方法 |
-
2014
- 2014-08-05 JP JP2014159686A patent/JP2016038627A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012527691A (ja) * | 2009-05-19 | 2012-11-08 | サイバーセキュアー, インコーポレイテッド | アプリケーションレベルセキュリティのためのシステムおよび方法 |
| US8505094B1 (en) * | 2010-01-13 | 2013-08-06 | Trend Micro, Inc. | Detection of malicious URLs in a web page |
| JP2011257901A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
| JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
| JP2014099758A (ja) * | 2012-11-14 | 2014-05-29 | National Institute Of Information & Communication Technology | 複数センサの観測情報の突合による不正通信検知方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6942277B1 (ja) * | 2021-03-29 | 2021-09-29 | 株式会社ユービーセキュア | セキュリティテストシステム |
| JP2022152374A (ja) * | 2021-03-29 | 2022-10-12 | 株式会社ユービーセキュア | セキュリティテストシステム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9979726B2 (en) | System and method for web application security | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
| Borders et al. | Quantifying information leaks in outbound web traffic | |
| KR101672791B1 (ko) | 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템 | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| CN105592017B (zh) | 跨站脚本攻击的防御方法及系统 | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| CN103001817A (zh) | 一种实时检测网页跨域请求的方法和装置 | |
| KR101902747B1 (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| US20190303584A1 (en) | Method and apparatus to detect security vulnerabilities in a web application | |
| US11792221B2 (en) | Rest API scanning for security testing | |
| US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
| Huber et al. | Tor HTTP usage and information leakage | |
| US10581878B2 (en) | Detection of cross-site attacks using runtime analysis | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| JP2016038627A (ja) | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム | |
| Tanaka et al. | SeedsMiner: accurate URL blacklist-generation based on efficient OSINT seed collection | |
| JP2016045887A (ja) | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム | |
| CN114048483A (zh) | Xss漏洞的检测方法、装置、设备及介质 | |
| Moad et al. | Fingerprint defender: defense against browser-based user tracking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171030 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171107 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180508 |